一、 漏洞 CVE-2024-30260 基础信息
漏洞标题
在跨源重定向时,Undici未清除Proxy-Authorization标头,适用于dispatch、request、stream和pipeline
来源:AIGC 神龙大模型
漏洞描述信息
Undici是一个为Node.js从头开始编写的HTTP/1.1客户端。Undici在`fetch()`中清除了Authorization和Proxy-Authorization头,但在`undici.request()`中没有清除它们。这个漏洞在版本5.28.4和6.11.1中已经被修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
HTTP请求的解释不一致性(HTTP请求私运)
来源:AIGC 神龙大模型
漏洞标题
Undici's Proxy-Authorization header not cleared on cross-origin redirect for dispatch, request, stream, pipeline
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Undici is an HTTP/1.1 client, written from scratch for Node.js. Undici cleared Authorization and Proxy-Authorization headers for `fetch()`, but did not clear them for `undici.request()`. This vulnerability was patched in version(s) 5.28.4 and 6.11.1.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Undici 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
undici是一个HTTP/1.1客户端。 Undici存在安全漏洞,该漏洞源于在进行dispatch, request, stream, pipeline等操作的跨域重定向时未清除Proxy-Authorization标头。受影响的产品和版本:Undici 5.28.3之前版本,6.0.0至6.11.0之前版本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-30260 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-30260 的情报信息